As organizações são constantemente desafiadas a gerenciar vulnerabilidades de forma eficaz para proteger seus ativos e dados críticos. Com frequência, porém, as abordagens tradicionais — que dependem de varreduras periódicas e da priorização baseada em atributos individuais de risco — não conseguem fornecer uma visão abrangente dos riscos representados por essas vulnerabilidades. Isso leva a um déficit crescente na remediação e a uma maior exposição a ameaças cibernéticas.
Para enfrentar esses desafios, a XM Cyber desenvolveu uma abordagem inovadora e orientada por ameaças para a Gestão de Vulnerabilidades. Ela considera diferentes perspectivas contextuais na análise de riscos, correlacionando-as com ameaças reais, para fortalecer a postura de cibersegurança.
Entendendo a necessidade de uma nova abordagem
Questões como a complexidade dos ambientes de TI modernos, a diversidade de tipos de ativos e a crescente gravidade das vulnerabilidades criam um cenário desafiador para as equipes de segurança. A falta de clareza sobre a responsabilidade pelos ativos, o contexto limitado para agir e uma lógica de priorização ineficaz dificultam que as organizações tratem as vulnerabilidades e reduzam sua exposição de forma efetiva.
Na XM Cyber, costumamos destacar as vantagens de fazer a transição de uma abordagem tradicional de Gestão de Vulnerabilidades para uma abordagem de gestão de exposição, usando a Gestão Contínua de Exposição a Ameaças (CTEM, na sigla em inglês) como metodologia. No entanto, programas de Gestão de Vulnerabilidades criados para atender a padrões e estruturas de compliance ultrapassados podem, por vezes, ser difíceis de abandonar. Estruturas de compliance mais modernas, como o Digital Operational Resilience Act (DORA) e a Diretiva NIS 2, continuam evoluindo suas expectativas em relação à gestão eficaz de correções para Vulnerabilidades e Exposições Comuns (CVEs), buscando aumentar a resiliência operacional sem impor às equipes Acordos de Nível de Serviço (SLAs) irreais.
É por isso que apresentamos agora o nosso módulo de Gestão de Riscos de Vulnerabilidades (VRM – Vulnerability Risk Managements), para facilitar a transição para a CTEM e acelerar a conformidade com esses padrões modernos de compliance, adotando uma abordagem orientada por ameaças para a Gestão de Vulnerabilidades.
O que é uma abordagem orientada por ameaças?
Para quem atua no setor de serviços financeiros, é possível que o termo “orientada por ameaças” já tenha aparecido como parte dos requisitos de testes do DORA — regulamentação da União Europeia que estabelece requisitos para garantir a resiliência operacional digital das instituições do setor financeiro. Mas, para muitos que estão lendo este texto, talvez seja a primeira vez que entram em contato com esse conceito.
“Orientada por ameaças” refere-se a uma abordagem que imita as táticas, técnicas e procedimentos de agentes mal-intencionados reais, considerados uma ameaça cibernética concreta para sistemas e recursos.
Essa abordagem normalmente utiliza inteligência de ameaças (Threat Intelligence), apoiada por equipes de pesquisa, para simular o comportamento de adversários reais. O objetivo é entender quais técnicas do MITRE ATT&CK — base de conhecimento sobre táticas e técnicas usadas por agentes de ameaças — podem ser usadas para explorar diferentes vulnerabilidades na sua superfície de ataque.
Para oferecer essa capacidade, a plataforma da XM Cyber utiliza a XM Attack Graph Analysis™ para correlacionar todos os tipos de exposição em todos os tipos de entidades, validando sua explorabilidade com base em técnicas de ataque comprovadas. Com isso, são calculados todos os possíveis caminhos de ataque para a propagação de ameaças reais em direção a ativos críticos para o negócio.
Essa correlação exclusiva do contexto de ameaças obtido pela nossa Attack Graph Analysis™, sobreposta aos atributos de risco de vulnerabilidades — que são mapeados dinamicamente em relação aos seus CVEs, dispositivos e produtos de software —, resulta em uma nova e inovadora abordagem orientada por ameaças para a Gestão de Vulnerabilidades. Essa abordagem destaca uma avaliação e validação dinâmicas e contínuas da explorabilidade das vulnerabilidades, analisadas sob a perspectiva de ameaças e técnicas de ataque do mundo real.
Abordagem baseada em risco vs. orientada por ameaças
Quando falamos em abordagem baseada em risco, estamos nos referindo aos diversos atributos de risco associados às CVEs, como nível de severidade, pontuação CVSS (Common Vulnerability Scoring System — sistema padronizado que mede a gravidade de vulnerabilidades de 0 a 10), EPSS (Exploit Prediction Scoring System — sistema que estima a probabilidade de exploração ativa) e CISA KEV (Cybersecurity and Infrastructure Security Agency – Known Exploited Vulnerabilities Catalog — catálogo de vulnerabilidades conhecidas que já estão sendo exploradas), entre outros.
Os primeiros atributos citados se concentram na gravidade que pode resultar da exploração de uma CVE — como “acesso” ou “controle” —, enquanto os últimos têm como objetivo prever a explorabilidade da própria CVE. O banco de dados CISA KEV é uma lista de CVEs cuja exploração já foi comprovada no mundo real. O desafio, porém, é que esses atributos não levam em consideração as especificidades do seu ambiente, a postura de segurança e os controles compensatórios — sendo, portanto, apenas uma previsão ou estimativa da explorabilidade.
Uma abordagem orientada por ameaças foca primeiro nas CVEs — e nas técnicas de ataque associadas — cuja exploração já foi comprovada no seu ambiente, antes de analisar como elas contribuem para a sua postura geral de risco.
Os 5 passos para o sucesso
No nosso webinar “Como Adotar uma Abordagem Orientada por Ameaças para a Gestão de Vulnerabilidades”, discutimos e demonstramos os 5 passos para o sucesso, utilizando o módulo de Gestão de Riscos de Vulnerabilidades (VRM) como uma extensão da nossa Plataforma de Gestão Contínua de Exposição (Continuous Exposure Management). Esses 5 passos foram:
Passo 1: Validar o risco de explorabilidade
O primeiro passo para adotar uma abordagem orientada por ameaças na Gestão de Vulnerabilidades é validar o risco de explorabilidade que as Vulnerabilidades e Exposições Comuns (CVEs – Common Vulnerabilities and Exposures) realmente apresentam no seu ambiente específico.
Para isso, o módulo de Gestão de Riscos de Vulnerabilidades (VRM – Vulnerability Risk Management) da XM Cyber avalia dinamicamente cada um desses atributos de risco tradicionais de CVE e acrescenta um atributo adicional e exclusivo: uma técnica de ataque verificada pela própria XM Cyber, extraída do nosso amplo Arsenal de Técnicas de Ataque (Attack Technique Arsenal). Essa metodologia valida a explorabilidade de cada CVE com base na configuração exata de cada ativo no seu ambiente, em cada dispositivo ao qual a CVE está mapeada.
Isso ajuda a priorizar os esforços de remediação de forma eficaz, concentrando-se nas vulnerabilidades que realmente representam uma ameaça concreta para o seu negócio.
Passo 2: Compreender a probabilidade de comprometimento
Depois de identificar os dispositivos com explorabilidade validada, o próximo elemento de risco a considerar é a probabilidade de esses dispositivos se tornarem acessíveis para um invasor — e o quão difícil seria para ele explorar essas falhas para comprometer os dispositivos durante uma invasão.
Para isso, utilizamos novamente a XM Attack Graph Analysis™ para identificar todos os possíveis pontos de invasão que têm alcance até o dispositivo explorável. O cálculo leva em conta o número de pontos de invasão, o total de caminhos de ataque, a quantidade de “saltos” (hops) ao longo desses caminhos e a complexidade adversária das técnicas de ataque necessárias para explorar cada uma das entidades nesse trajeto.
Esse processo de análise abrangente resulta no nosso Compromise Risk Score (Pontuação de Risco de Comprometimento), classificado em uma escala de probabilidade. Consideramos esse valor como o risco de entrada (inbound risk) do dispositivo — e, quanto maior for esse valor, maior a probabilidade de que o dispositivo seja comprometido durante uma invasão
Passo 3: Analisar o risco de impacto nos negócios
Agora que você já sabe quais dispositivos podem realmente ser explorados e qual a probabilidade de eles serem comprometidos, o próximo elemento de risco a considerar é o impacto que isso teria nos negócios.
A plataforma da XM Cyber pode classificar automaticamente seus ativos críticos e, com o apoio da nossa equipe de customer success, você pode personalizar ainda mais essa classificação para alinhá-la aos processos críticos do seu negócio.
Nesse ponto, a XM Attack Graph Analysis™ entra novamente em ação — mas, desta vez, o foco está no risco de saída (outbound risk) a partir do dispositivo explorável, seguindo pelos caminhos de ataque até os seus ativos críticos. Novamente, consideramos a complexidade dos caminhos e das técnicas de ataque necessários para explorar cada entidade ao longo do percurso, de forma a quantificar o risco de impacto nos negócios. Esse risco é apresentado como um percentual dos ativos críticos que poderiam ser explorados a partir desse dispositivo, caso ele fosse comprometido durante uma invasão.
Passo 4: Definir o apetite ao risco e a estratégia de priorização
Depois de avaliar a explorabilidade, o risco de comprometimento e o impacto nos negócios das vulnerabilidades, as organizações precisam definir seu apetite ao risco — ou seja, o nível de risco que estão dispostas a aceitar — e selecionar a estratégia de priorização mais adequada para os esforços de remediação.
Ao compreender sua tolerância ao risco e a importância de cada vulnerabilidade no contexto das operações do negócio, as organizações podem desenvolver uma lógica de priorização que esteja alinhada com seus objetivos de segurança e necessidades operacionais.
Passo 5: Mobilizar ações de remediação eficazes
O passo final para adotar uma abordagem orientada por ameaças na Gestão de Vulnerabilidades é mobilizar ações de remediação eficazes com base nos insights obtidos nas etapas anteriores. A plataforma da XM Cyber oferece uma ampla variedade de guias de remediação e abertura automática de chamados (automated ticketing), garantindo que as equipes certas tenham as informações corretas em mãos para implementar ações efetivas.
Se uma vulnerabilidade puder ser corrigida, fornecemos um guia detalhado de aplicação, passo a passo, segmentado pela versão do software à qual a vulnerabilidade foi correlacionada.
Quando a correção não for uma opção viável, ou não puder ser implementada dentro do Acordo de Nível de Serviço (SLA – Service Level Agreement) exigido, fornecemos um guia de reforço com opções para implementar controles compensatórios — como segmentação de rede — a fim de minimizar o risco de comprometimento, além de um guia de boas práticas do fornecedor.
Benefícios de uma abordagem orientada por ameaças
Adotar uma abordagem orientada por ameaças ajuda os profissionais de segurança a criar confiança em seu programa de Gestão de Vulnerabilidades.
Essa abordagem potencializa a redução efetiva de riscos ao oferecer uma visão holística do cenário de vulnerabilidades, validar a explorabilidade e priorizar os esforços de remediação com base no impacto e na probabilidade de comprometimento. Ao utilizar o módulo de Gestão de Riscos de Vulnerabilidades (VRM – Vulnerability Risk Management) da XM Cyber, as organizações podem promover uma cultura de colaboração, otimizar as estratégias de remediação e acelerar a gestão de correções de vulnerabilidades em ciclo fechado (closed-loop patch management).
Conclusão: Adotando a inovação para fortalecer a cibersegurança
Ao seguir os cinco passos essenciais apresentados neste texto, as organizações podem aumentar significativamente sua capacidade de detectar, priorizar e remediar vulnerabilidades de forma eficaz, fortalecendo assim seus mecanismos de defesa contra ameaças cibernéticas.
O módulo de VRM da XM Cyber permite que as organizações identifiquem e tratem proativamente as vulnerabilidades que representam o maior risco para seus ativos críticos. Adotar essa abordagem proativa e orientada por inteligência é fundamental para manter uma postura de cibersegurança forte e resiliente.
Ao incorporar os princípios da Gestão de Vulnerabilidades orientada por ameaças, as organizações podem se manter um passo à frente dos agentes mal-intencionados e proteger seus ativos digitais com confiança e eficiência.
—
A Ambipar ESG, aliada à XM Cyber, pode te ajudar com a cibersegurança da sua empresa!
